Vulnerabilidad en los módulos de la comunidad ldap_attr y ldap_entry en el bind_pw en el campo parameters en Ansible Engine y Ansible Tower (CVE-2020-1746)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-200
Revelación de información
Fecha de publicación:
12/05/2020
Última modificación:
07/11/2023
Descripción
Se detectó un fallo en el Ansible Engine que afectaba a las versiones 2.7.x anteriores a 2.7.17 y versiones 2.8.x anteriores a 2.8.11 y versiones 2.9.x anteriores a 2.9.7 así como en Ansible Tower versiones anteriores e incluyendo a 3.4.5 y 3.5.5 y 3.6.3, cuando son usados los módulos de la comunidad ldap_attr y ldap_entry. El problema revela la contraseña de enlace de LDAP en stdout o un archivo de registro si una tarea del playbook se escribe usando el bind_pw en el campo parameters. La mayor amenaza de esta vulnerabilidad es la confidencialidad de los datos.
Impacto
Puntuación base 3.x
5.00
Gravedad 3.x
MEDIA
Puntuación base 2.0
1.90
Gravedad 2.0
BAJA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:redhat:ansible_engine:*:*:*:*:*:*:*:* | 2.7.0 (incluyendo) | 2.7.17 (excluyendo) |
| cpe:2.3:a:redhat:ansible_engine:*:*:*:*:*:*:*:* | 2.8.0 (incluyendo) | 2.8.11 (excluyendo) |
| cpe:2.3:a:redhat:ansible_engine:*:*:*:*:*:*:*:* | 2.9.0 (incluyendo) | 2.9.7 (excluyendo) |
| cpe:2.3:a:redhat:ansible_tower:*:*:*:*:*:*:*:* | 3.4.0 (incluyendo) | 3.4.5 (incluyendo) |
| cpe:2.3:a:redhat:ansible_tower:*:*:*:*:*:*:*:* | 3.5.0 (incluyendo) | 3.5.5 (incluyendo) |
| cpe:2.3:a:redhat:ansible_tower:*:*:*:*:*:*:*:* | 3.6.0 (incluyendo) | 3.6.3 (incluyendo) |
| cpe:2.3:o:debian:debian_linux:10.0:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página